Alert!

IBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-Version

Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.

In Pocket speichern vorlesen Druckansicht 29 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 1 Min.

Unter bestimmten Voraussetzungen könnten Angreifer verschlüsselte TLS-Verbindungen auf IBM-Servern mit dem AIX-System aufbrechen. Nun hat IBM aktualisierte Versionen veröffentlicht.

Seit Dezember 2020 ist bekannt, dass die Krpytographie-Software zum verschlüsselten Datenaustausch via TLS OpenSSL verwundbar ist. In der Version 1.1.1i haben die OpenSSL-Entwickler eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-1971) geschlossen.

Angreifer könnten die fehlerhafte Funktion GENERAL_NAME_cmp zum Vergleichen von X509-Namen benutzen, um die Software via DoS-Attacke abstürzen zu lassen. Aus einer Warnmeldung von IBM geht hervor, dass in der reparierten und in AIX implementierten OpenSSL-Ausgabe noch eine Schwachstelle (CVE-2020-1968) geschlossen wurde.

Setzen entfernte Angreifer erfolgreich an der Lücke an, könnten sie mittels einer Timing-Attacke namens Racoon Attack TLS-Verbindungen aufbrechen und übertragene Daten mitlesen. Das klingt fatal, ist aber nur mit dem Bedrohungsgrad "niedrig" eingestuft. Diese Timing-Attacke ist nicht ohne Weiteres und nur mit viel Aufwand auszuführen.

In der Warnmeldung listet IBM die abgesicherten AIX-Versionen auf. Dort findet man auch Hinweise zur Installation.

(des)